La sécurité de vos données est notre priorité
Chez PayFit, la sécurité de vos données est au cœur de nos préoccupations. Nous mettons tout en œuvre pour protéger votre entreprise. Nous avons reçu la certification ISO 27001.
Sécurité
PayFit s’engage sur tous les domaines qui participent à la sécurité de vos données : employés, sécurité physique, accès aux données, hébergement et réseaux, logs, disponibilité, audits.
Confidentialité
L’accès à votre compte est sécurisé par plusieurs mécanismes de protection et nous protégerons scrupuleusement vos données. Comment ? Vos données sont chiffrées en transit comme au repos dans nos bases.
Intégrité
PayFit garantit la protection de vos documents contre toute modification, grâce à un contrôle strict de vos données. Et pour plus de sûreté encore, nous sauvegardons vos documents toutes les heures.
Disponibilité
Vos données sont répliquées en temps réel dans 3 centres de données distincts en France, basculant automatiquement en quelques secondes de l’un vers l’autre en cas d’incident.
En savoir plus sur la sécurité de vos données
Ressources humaines
Vérification des antécédents de chaque candidat.
Signature d'un accord de confidentialité et d'une charte de sécurité et de confidentialité.
Matériel informatique sécurisé par des outils permettant d'analyser et de contrôler leur paramétrage.
Formations de sécurité organisées régulièrement pour tous les employés et révision des politiques internes de sécurité tous les trimestres.
Suivi d'une matrice RACI (Responsible, Accountable, Consulted, Informed) pour chaque développement et tâche de contrôle afin de séparer et distribuer les fonctions de développement, de conseil et de validation.
Sécurité physique
Surveillance des locaux de PayFit 24h/24 par un système d'alarme et de vidéo-surveillance.
Conservation des accès aux locaux pendant 45 jours.
Supervision directe des visiteurs par un membre de PayFit pendant toute la durée de leur visite.
Gestion des actifs
Gestion centralisée avec des capacités d'inventaire, de suivi et d'alerte à l'échelle internationale.
Politique de sécurité des périphériques appliquée et gérée au niveau international (verrouillage automatique, complexité et rotation des mots de passe, protection en temps réel contre les logiciels malveillants, pare-feu, cryptage des disques, restriction de l'installation des logiciels, mises à jour automatiques, fonctions de verrouillage et d'effacement à distance).
Politique globale d'outils autorisés à gérer les actifs par type d'information et cadre de classification.
Accès au code source strictement contrôlé, avec un examen systématique par les pairs lors de la fusion de nouveaux codes.
Gestion centralisée des droits sur tous les Software-as-a-Service.
Politique globale d'approvisionnement obligatoire avant tout engagement d'un fournisseur, avec autorisation systématique de sécurité, juridique et financière.
Données
Hébergement de toutes les données, dont les sauvegardes, en France.
Chiffrage de toutes les données, dont les sauvegardes, lors de leur transmission comme lors de leur stockage.
Anonymisation des données sensibles ou non transmises à des sous-traitants.
Authentication obligatoire des utilisateurs par email et mot de passe (contrôlés par une politique stricte), avec en option un second facteur d'authentification (2FA) envoyé par SMS.
Accès aux données en interne réservé aux employés dûment autorisés, par le biais d'un VPN, protégé par un second facteur d'authentification (2FA).
Transmission des données uniquement grâce au protocole TLS/SSL, renforcé par les mécanismes HSTS et Perfect Forward Secrecy. Les certificats de PayFit ont obtenu la note de "A" auprès du SSL Labs.
Restriction de l'accès aux données clients à certaines équipes, à la condition expresse que cet accès soit proportionné à leur mission et justifié par celle-ci. Archivage systématique de tels accès.
Légal
Contrôles réguliers des systèmes de gestion de la paie par les meilleurs experts du domaine (dont Pierre-Jean Fabas, rédacteur en chef de legisocial.fr).
Procédures automatiques de test et de vérification pour assurer la cohérence des calculs.
Surveillance du cadre légal et conventionnel assurée par une équipe interne dédiée.
Hébergement et réseaux
Hébergement assuré auprès de Amazon Web Services, certifié ISO 27001.
Chiffrage de toute transmission entre les clients et les serveurs de bout-en-bout par le protocole HTTPS.
Subdivision du réseau de PayFit en sous-réseaux, chacun assigné à une fonction particulière, pour participer à l'amélioration générale des performances et de la sécurité.
Séparation stricte des environnements de test et de production.
Isolement du réseau de PayFit d'Internet, à l'exception d'un unique point d'entrée (proxy). Chaque point à l'intérieur du réseau est protégé par des règles strictes de pare-feu.
Protection de l'accès aux systèmes de PayFit par les politiques de gestion de droits d'AWS et de Kubernetes.
L'accès aux données, uniquement par les membres autorisés de PayFit, passe par l'utilisation d'un VPN, protégé par un second facteur d'authentification (2FA).
Transmissions de données depuis les systèmes gérant des données personnelles systématiquement archivées.
Synchronisation de tous les serveurs entre-eux grâce à un serveur AWS NTP.
Logs
Mise en oeuvre de logs d'audit pour identifier et archiver tout accès aux systèmes, comme tout accès et modification des données sur ces systèmes.
Identification et archivage séparément de tous les évènements techniques des systèmes, comme les erreurs.
Accès aux logs par un nom de domaine dédié, protégé par VPN, mot de passe et un second facteur d'authentification (2FA) obligatoire.
Réplication automatique des logs 3 fois dans 3 data-centers distants en France (serveurs AWS, certifiés ISO 27001), basculant automatiquement de l'un vers l'autre en cas d'incident.
Rétention des logs d'audit fixée à un an.
Disponibilité et résilience
Réplication continuelle de toutes les données sur 2 noeuds pour les bases de données et 3 noeuds pour le stockage sur AWS S3. Chaque noeud est hébergé dans un data-center spécifique, géographiquement séparé des autres : en cas d'incident dans un data-center, les données qui y sont stockées sont automatiquement répliquées dans les autres data-center.
Sauvegardes des données effectuées automatiquement toutes les heures. Test quotidien du processus de restauration des sauvegardes.
Transmission des sauvegardes chiffrées de bout-en-bout grâce au protocole HTTPS.
Réplication des sauvegardes 3 fois. Protection de l'accès par les politiques de gestion de droits d'AWS et de Kubernetes.
Réponse en cas d'incident
PayFit a mis en place une procédure claire pour les événements de sécurité et a formé en interne tous les membres du personnel à ce sujet.
Lorsque des événements de sécurité sont détectés, ils sont transmis à notre alias d'urgence, les équipes sont appelées, notifiées et rassemblées pour réagir rapidement.
L'analyse est examinée en personne, distribuée à l'échelle de l'entreprise et comprend des mesures qui faciliteront la détection et la prévention d'un événement similaire à l'avenir.
Les événements liés à la sécurité doivent être systématiquement revus en vue de leur clôture par les services d'ingénierie, de sécurité, juridiques, de communication et, le cas échéant, par les services spécifiquement concernés.
Audits de sécurité
Utilisation des technologies telles que Sentry et AWS Cloudtrail pour générer des logs d'audit des infrastructures et applications. Analyses ad-hoc de sécurité, identification des changements aux configurations de PayFit et liste des accès à toutes couches applicatives.
Mise en place d'un programme de découverte de bugs sur HackerOne, afin d'identifier et de remédier aux menaces de sécurité. Accès à ce programme se fait sur invitation uniquement.